Содержание
Взаимодействие с НКЦКИ
Open Single Management Platform позволяет вам взаимодействовать с Национальным координационным центром по компьютерным инцидентам (далее НКЦКИ). Субъект ГосСОПКА, который использует Open Single Management Platform, может передавать данные о компьютерных инцидентах, обнаруженных компьютерных атаках и уязвимостях, используя экспорт инцидентов в НКЦКИ. Благодаря обмену информацией об инцидентах, реагирование на компьютерные инциденты, которые происходят на субъектах критической информационной инфраструктуры Российской Федерации, может стать более оперативным.
В Open Single Management Platform в рамках взаимодействия с НКЦКИ можно выполнять следующие действия:
- экспортировать в НКЦКИ инциденты;
- просматривать изменения в параметрах экспортированных инцидентов, сделанные в НКЦКИ.
Условия взаимодействия с НКЦКИ
Для взаимодействия с НКЦКИ должны выполняться следующие условия:
- Лицензия приложения включает модуль ГосСОПКА.
- Настроена интеграция с НКЦКИ.
- Пользователю, который работает с инцидентами НКЦКИ должна быть присвоена одна из следующих предопределенных ролей:
- Главный администратор.
- Администратор тенанта.
- Работа с НКЦКИ.
Этапы взаимодействия с НКЦКИ
В Open Single Management Platform процесс подготовки и обработки инцидентов НКЦКИ состоит из следующих этапов:
- Создание инцидента и проверка его на соответствие требованиям НКЦКИ
Вы можете создать инцидент НКЦКИ на основе инцидента XDR. Перед отправкой данных в НКЦКИ убедитесь, что категория инцидента соответствует требованиям НКЦКИ.
- Экспорт инцидента в НКЦКИ
При успешном экспорте инцидента в НКЦКИ, статус инцидента принимает значение Отправлен в НКЦКИ.
В НКЦКИ полученному инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.
Статус инцидента и некоторые параметры инцидента могут обновляться на стороне НКЦКИ. Если сотрудники НКЦКИ внесли изменения, значения параметров инцидента НКЦКИ обновляются. Данные между Open Single Management Platform и НКЦКИ синхронизируются каждые 5–10 минут. Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ.
- Завершение обработки инцидента
Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В Open Single Management Platform этот статус отображается в заголовке окна со сведениями об инциденте НКЦКИ.
При получении статуса Отправлен в архив взаимодействие с НКЦКИ по инциденту через Open Single Management Platform становится невозможным. При этом закрытые инциденты можно найти в таблице инцидентов НКЦКИ и просмотреть сведения о них.
Настройка интеграции с НКЦКИ
Вы можете создать подключение к НКЦКИ. Это позволит вам экспортировать в него инциденты, зарегистрированные в Open Single Management Platform.
Чтобы настроить интеграцию с НКЦКИ:
- В главном меню перейдите в раздел Параметры → Тенанты.
Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть доступ на чтение.
- Нажмите на имя требуемого тенанта.
Откроется окно свойств тенанта. Если у вас есть только право доступа на чтение к этому тенанту, свойства будут доступны только для чтения. Если у вас есть право доступа на запись, вы можете настроить свойства тенанта.
- В окне свойств тенанта выберите вкладку Параметры и в разделе Сторонние интеграции выберите НКЦКИ.
- Включите опцию Интеграция с НКЦКИ.
- В поле URL введите URL, по которому доступен НКЦКИ. Например:
https://example.cert.gov.ru/api/v2/
. - В поле API-токен нажмите на кнопку Добавить токен и задайте API-токен вручную.
- В поле Организация укажите название вашей компании. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
- В раскрывающемся списке Функция затронутой системы выберите сферу, в которой работает ваша организация. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
- В раскрывающемся списке Расположение выберите геокод, соответствующий субъекту Российской Федерации, в котором располагается ваша компания. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
- Включите параметр Использовать прокси-сервер, чтобы подключаться к НКЦКИ через прокси-сервер.
Нажмите на ссылку Параметры, чтобы задать настройки прокси-сервера. Откроется окно свойств Сервера администрирования, в котором вы можете выполнить настройку.
- Вы можете указать следующие параметры об операторе персональных данных в соответствующих полях:
- Наименование
- ИНН
- Адрес
- Адрес электронной почты
Вы также можете убедиться, что соединение с НКЦКИ установлено, нажав на кнопку Проверить подключение. Статус проверки отобразится в поле Статус подключения.
- Нажмите на кнопку Сохранить для завершения настройки интеграции.
Open Single Management Platform интегрирован с НКЦКИ. Теперь вы можете экспортировать в него инциденты.
Чтобы выключить интеграцию с НКЦКИ:
- В главном меню перейдите в раздел Параметры → Тенанты.
Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть доступ на чтение.
- Нажмите на имя требуемого тенанта.
Откроется окно свойств тенанта. Если у вас есть только право доступа на чтение к этому тенанту, свойства будут доступны только для чтения. Если у вас есть право доступа на запись, вы можете настроить свойства тенанта.
- В окне свойств тенанта выберите вкладку Параметры и в разделе Сторонние интеграции выберите НКЦКИ.
- Выключите параметр Интеграция с НКЦКИ.
- Нажмите на кнопку Сохранить.
Интеграция Open Single Management Platform с НКЦКИ выключена.
В началоПросмотр таблицы инцидентов НКЦКИ
Таблица инцидентов НКЦКИ содержит информацию обо всех созданных инцидентах НКЦКИ.
Чтобы просмотреть таблицу инцидентов НКЦКИ:
- В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
- При необходимости отфильтруйте тенанты. По умолчанию фильтр тенантов выключен и в таблице инцидентов отображаются инциденты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
- Перейдите по ссылке рядом с параметром Фильтр тенантов.
Откроется список тенантов.
- Установите флажки рядом с требуемыми тенантами.
В таблице инцидентов отображаются только инциденты, обнаруженные на активах, принадлежащих выбранным тенантам.
- Перейдите по ссылке рядом с параметром Фильтр тенантов.
- Выберите вкладку Инциденты НКЦКИ.
Откроется таблица с инцидентами НКЦКИ. Таблица содержит следующие столбцы:
- Короткий идентификатор – уникальный идентификатор инцидента НКЦКИ.
- Тенант – имя тенанта, в котором был обнаружен инцидент.
- Обнаружен – дата и время обнаружения инцидента.
- Завершен – дата и время закрытия инцидента.
- Статус – текущий статус инцидента НКЦКИ, экспортированного в НКЦКИ.
- Категория – категория инцидента НКЦКИ.
- Тип – тип инцидента НКЦКИ.
- Вы можете группировать и фильтровать данные таблицы с инцидентами НКЦКИ. Для этого нажмите на значок параметров (
) или на значок фильтрации (
) в правом верхнем углу таблицы и настройте параметры отображения инцидентов.
По умолчанию таблица инцидентов НКЦКИ отфильтрована по столбцу Статус: инциденты со статусом Отправлен в архив и Принято решение не отображаются.
Просмотр сведений об инциденте НКЦКИ
В окне со сведениями об инциденте НКЦКИ вы можете просматривать всю информацию, относящуюся к инциденту, включая его свойства.
Чтобы просмотреть сведения об инциденте НКЦКИ:
- В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
- Выберите вкладку Инциденты НКЦКИ.
- В открывшейся таблице нажмите на идентификатор инцидента.
Откроется окно со сведениями об инциденте НКЦКИ.
В заголовке окна указан краткий уникальный идентификатор инцидента и статус, присвоенный инциденту в НКЦКИ. Если инцидент еще не был экспортирован в НКЦКИ, он имеет статус Черновик. Некоторые параметры инцидента НКЦКИ доступны для редактирования, остальные параметры наследуются от инцидента XDR и не редактируются.
При необходимости вы можете обновить информацию в окне со сведениями об инциденте, нажав на значок рядом с заголовком окна.
С помощью панели инструментов в верхней части окна вы можете выполнять следующие действия:
- редактировать инцидент НКЦКИ;
- удалять инцидент НКЦКИ;
- экспортировать инцидент НКЦКИ.
Окно сведений об инциденте НКЦКИ содержит разделы, описанные ниже.
Сводная информация
В этом разделе вы можете просматривать и при необходимости редактировать следующую общую информацию об инциденте НКЦКИ:
- Короткий идентификатор – уникальный идентификатор инцидента НКЦКИ.
- Тенант – имя тенанта, в котором был обнаружен инцидент.
- Обнаружено – дата и время обнаружения инцидента.
- Завершено – дата и время закрытия инцидента. Этот параметр доступен для редактирования.
- Описание – краткое описание инцидента. Этот параметр доступен для редактирования.
- Категория – категория инцидента НКЦКИ. Этот параметр доступен для редактирования.
- Тип – тип инцидента НКЦКИ. Этот параметр доступен для редактирования.
- Утечка персональных данных – уведомление об утечке персональных данных. Этот параметр доступен для редактирования.
Параметр отображается, если при редактировании категории инцидента вы выбрали Уведомление о компьютерном инциденте, а затем выбрали один из следующих типов:
- Заражение ВПО
- Компрометация учетной записи
- Несанкционированное разглашение информации
- Успешная эксплуатация уязвимости
- Событие не связано с компьютерной атакой
- Название компании – наименование главной организации, в которой произошел инцидент.
- TLP – маркер протокола Traffic Light, который определяет уровень конфиденциальности информации, содержащейся в сведениях об инциденте НКЦКИ. Этот параметр доступен для редактирования.
- Состояние действия – статус реагирования на инцидент. Этот параметр доступен для редактирования.
- Инцидент XDR – инцидент XDR, на основе которого был создан инцидент НКЦКИ.
- Затронутая система имеет подключение к интернету – наличие доступа в интернет в системе, где произошел инцидент. Этот параметр доступен для редактирования.
Если система, где произошел инцидент, имеет доступ в интернет, то становится доступна вкладка, где можно заполнить технические сведения об атакованном ресурсе (раздел Технические сведения об атакованном ресурсе) и вредоносной системе (раздел Технические сведения о вредоносной системе).
- Требуется помощь – необходимость получения помощи от сотрудников НКЦКИ. Этот параметр доступен для редактирования.
- Имя затронутой системы – название атакованной системы. Этот параметр доступен для редактирования.
- Категория затронутой системы – категория значимости объекта критической информационной инфраструктуры (далее КИИ). Этот параметр доступен для редактирования.
- Функция затронутой системы – сфера деятельности организации, в которой функционирует атакованная система.
- Расположение – геокод, соответствующий субъекту Российской Федерации, в котором располагается организации.
- Средство обнаружения – приложение, с помощью которого был зарегистрирован инцидент. Этот параметр доступен для редактирования.
- Город – город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.
- Влияние на доступность – влияние инцидента на доступность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
- Влияние на целостность – влияние инцидента на целостность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
- Влияние на конфиденциальность – влияние инцидента на конфиденциальность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
- Другое влияние – описание других последствий компьютерного инцидента или компьютерной атаки.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
- Категория приложений – наименование и версия уязвимого приложения. Параметр доступен для категории инцидента НКЦКИ Уведомление о наличии уязвимости.
- Технические сведения об атакованном ресурсе – технические сведения о системе, где произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.
- Технические сведения о вредоносной системе – технические сведения о вредоносной системе, вследствие атаки которой произошел инцидент. Этот параметр доступен для редактирования.
Интеграция с НКЦКИ
В этом разделе вы можете просматривать следующую информацию об инциденте, который был экспортирован в НКЦКИ:
- UUID – уникальный идентификатор карточки уведомления в НКЦКИ.
- Регистрационный номер – регистрационный номер уведомления в НКЦКИ.
- Зарегистрировано – дата и время регистрации инцидента в НКЦКИ.
- Время обновления – дата последнего обновления инцидента в НКЦКИ.
История
В этом разделе вы можете просматривать следующую информацию об истории изменений инцидента НКЦКИ:
- Время – дата и время изменения инцидента.
- Пользователь – имя пользователя, который изменил инцидент.
- Подробнее – информация об изменении инцидента.
Создание инцидента НКЦКИ
Вы можете создать инцидент НКЦКИ только на основе существующего инцидента XDR.
Чтобы создать инцидент НКЦКИ:
- В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
- Нажмите на инцидент XDR, на основе которого вы хотите создать инцидент для отправки в НКЦКИ. Инцидент XDR может иметь любой статус.
Откроется окно со сведениями об инциденте XDR.
- В панели управления в верхней части окна нажмите Создать инцидент НКЦКИ.
Откроется окно создание инцидента НКЦКИ.
- Заполните следующие поля:
- Категория – категория инцидента НКЦКИ.
- Тип – тип инцидента НКЦКИ.
- При необходимости в поле Активы вы можете выбрать или добавить активы, вовлеченные в инцидент НКЦКИ. В таблице активов у таких устройств в столбце Имеет признаки стоит значение "атакующий" или "жертва".
Данные о выбранных атакованных устройствах и вредоносных системах будут отображаться в окне со сведениями об инциденте НКЦКИ в разделах инцидента Технические сведения об атакованном ресурсе и Технические сведения о вредоносной системе.
Инцидент НКЦКИ создан. После этого в инцидент XDR добавляется ссылка на созданный инцидент НКЦКИ, а в инциденте НКЦКИ – ссылка на инцидент XDR. Вы можете просмотреть сведения об инциденте, отредактировать их и экспортировать инцидент в НКЦКИ.
В началоПередача инцидентов в НКЦКИ
Чтобы экспортировать инцидент в НКЦКИ:
- В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
- Выберите вкладку Инциденты НКЦКИ.
- В открывшейся таблице нажмите на идентификатор инцидента НКЦКИ, который вы хотите экспортировать.
Откроется окно со сведениями об инциденте.
Если в списке инцидентов НКЦКИ отсутствует инцидент, который необходимо экспортировать, вы можете создать инцидент НКЦКИ.
- При необходимости вы можете отредактировать параметры инцидента НКЦКИ перед экспортом. Для этого нажмите на кнопку Изменить в панели в верхней части окна инцидента НКЦКИ, заполните необходимые поля и сохраните изменения.
- Нажмите на кнопку Отправить в НКЦКИ в панели в верхней части окна инцидента НКЦКИ.
- В открывшемся окне подтвердите отправку инцидента в НКЦКИ.
Запрос в НКЦКИ отправлен. Если экспорт выполнен успешно, в НКЦКИ полученному инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ. При этом значение поля Статус меняется на Отправлен в НКЦКИ. С этого момента повторная отправка и редактирование инцидента в НКЦКИ в интерфейсе Open Single Management Platform становятся недоступны. Если вам требуется внести изменения в экспортированный инцидент, это следует делать в личном кабинете НКЦКИ.
В началоДопустимые категории и типы инцидентов НКЦКИ
В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ.
Категории и типы инцидентов НКЦКИ
Категория инцидента |
Тип инцидента |
Уведомление о компьютерном инциденте |
Замедление работы ресурса в результате DDoS-атаки |
Заражение вредоносным программным обеспечением (далее ВПО) |
|
Захват сетевого трафика |
|
Использование контролируемого ресурса для проведения атак |
|
Компрометация учетной записи |
|
Несанкционированное изменение информации |
|
Несанкционированное разглашение информации |
|
Публикация на ресурсе запрещенной законодательством РФ информации |
|
Успешная эксплуатация уязвимости |
|
Событие не связано с компьютерной атакой |
|
Уведомление о компьютерной атаке |
DDoS-атака |
Неудачные попытки авторизации |
|
Попытки внедрения ВПО |
|
Попытки эксплуатации уязвимости |
|
Публикация мошеннической информации |
|
Сетевое сканирование |
|
Социальная инженерия |
|
Уведомление о наличии уязвимости |
Уязвимый ресурс |
Статусы инцидента НКЦКИ
Инцидент, экспортированный в НКЦКИ, может иметь статусы, приведенные в таблице ниже.
Статусы инцидента НКЦКИ
Статус инцидента НКЦКИ |
Описание |
---|---|
Черновик |
Статус присваивается в следующих случаях:
|
Отправлен в НКЦКИ |
Статус присваивается в следующих случаях:
|
Создан |
При успешном экспорте инциденту присваивается один из перечисленных статусов в зависимости от этапа рассмотрения инцидента специалистами НКЦКИ. Статус инцидента запрашивается в НКЦКИ каждые 5 минут после успешной отправки инцидента в НКЦКИ. После получения статуса Принято решение или Отправлен в архив запрос по инциденту в НКЦКИ больше не выполняется. |
Создано |
|
Зарегистрирован |
|
Проверка НКЦКИ |
|
Принято решение |
|
Отправлен в архив |